网络安全管理制度
第一条 所有接入网络的用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害城域网及防火墙、路由器、交换机、服务器等网络设备的活动。不得在网络上制作、发布、传播下列有害内容:
(一) 泄漏国家秘密,危害国家安全的;
(二) 违反国家民族、宗教与教育政策的;
(三) 煽动暴力,宣扬封建迷信、邪教、黄色淫秽,违反社会公德,以及赌博、诈骗和教唆犯罪的;
(四) 公然侮辱他人或者捏造事实诽谤他人的,暴露个人隐私和攻击他人与损害他人合法权益的;
(五) 散布谣言,扰乱社会秩序,鼓励聚众滋事的;
(六) 损害社会公共利益的;
(七) 计算机病毒;
(八)法律和法规禁止的其他有害信息。
第二条 在网站上发现大量有害信息,以及遭到黑客攻击后,必须在12小时内向网络管理人员及公安机关报告,并协助查处。在保留有关上网信息和日志记录的前提下,及时删除有关信息。问题严重、情况紧急时,应关闭交换机或相关服务器。
第三条 公司局域网的网络配置由网络管理员统一规划管理,其他任何人不得私自更改网络配置。
第四条 接入公司局域网的客户端计算机的网络配置由网络管理员不熟的服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息,未经许可,任何人不得更改网络配置。
第五条 网络核心设备部署要求性能良好,设备和链路有冗余,保证业务高峰期需求。
第六条 须强化对终端的控制,并强制终端使用防病毒系统。 第七条 对于涉密终端强制安装数据防泄密软件。 第八条 网络边界处部署防火墙、IPS等安全设备。 第九条 按照网络内的不同区域,划分不同的VLAN。 第十条 邮箱系统须增加垃圾邮件检测功能。
第十一条
严格控制带宽,设置优先级,限制上网权限。
第十二条
定期对网络系统(服务器、网络设备)进行漏洞扫描,并及时修补已发现的安全漏洞。
第十三条
根据设备厂商提供的更新软件对网络设备和安全设备进行升级,在升级之前要注意对重要文件的配置进行备份。 第十四条
定期对重要的网络、安全设备进行巡检,确保重要设施工作正常,并填写相关记录表单归档保存。若在巡检中发现安全问题要及时上报处理。
第十五条
定期对重要系统服务器和相关业务数据进行备份,备份数据应一式两份,分别进行保存管理。
第十六条
部署准用的网络审计设备记录网络访问日志,日志的最小保存期限不低于60天,且应保证无一天以上的中断。
第十七条
所有计算机设备必须统一安装防病毒软件,未经技术部同意,不得私自在计算机中安装非公司统一规定的任何防病毒软件及个人防火墙。所有计算机必须及时升级操作系统补丁和防病毒软件。 第十八条
公司内部终端用户必须受网络管理员统一监督管理。建立帐号登记管理制度,用户帐号只能专人专用,方便日后的检查和监督工作。
第十九条
与公司网络相连的机房建设,应当符合国家的有关标准和规定,在电源防护、防盗、防火、防水、防尘、防雷等方面,采取规范的技术保护措施。
第二十条
公司内的系统软件、应用软件及信息数据要实施保密措施。接入互联网的计算机必须与公司内部的涉密计算机信息系统实行物理隔离。涉密信息不得在上网设备上操作或存储。信息资源保密等级可分为:
(一) 可向Internet公开的;
(二) 可向本城域网公开的;
(三) 可向有关部门或个人公开的;
(四) 可向本单位公开的;
(五) 仅限于个人使用的。
第二十一条
任何单位和个人不得利用联网计算机从事下列活动:
(一) 未经允许,非法访问公司内部网络服务器、工作站、交换机、路由器及其它相关设备;对公司内网上所具有的功能、程序、数据进行删除、修改和增加;
(二) 未经允许,擅自提供与公司业务无关的网络服务;
(三) 故意制作、传播计算机病毒与破坏性程序;
(四) 其他危害公司网络安全的行为。
第二十二条
故意输入计算机病毒,造成危害城域网及子网站网络安全的,按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
